Аудит с добавленной ценностью
Источник: автор материала – Грэг Хатчинс, главный инженер компании «Quality Plus Engineering». Статья в оригинале опубликована на сайте журнала «Quality Digest».
Аудит, добавляющий ценность – это так здорово, что Нью-Йоркская фондовая биржа требует проведения таких аудитов от зарегистрированных на ней компаний.
Почему так мало компаний прошло сертификацию по стандарту ISO 9001:2000? В июльском исследовании 2002, которое осуществил своими силами журнал «Quality Digest», есть и такая цифра: всего 8-10% фирм к настоящему моменту полностью адаптировали свои системы менеджмента качества (СМК, – ред.) к требованиям новой редакции 2000 года. Между тем, до наступления дедлайна по переходному периоду, который установила Международная организация по стандартизации (ISO – International Organization for Standardization, – ред.) осталось совсем мало времени: какой-нибудь год. Главная причина в подобной медлительности кроется, скорее всего, в том, что преимущества, которые обещает пользователям ISO 9001:2000 не обладают достаточной притягательностью в условиях нынешней застойной экономики.
Подтолкнуть предприятия к внедрению изменившихся требований стандарта может аудит СМК, приносящий добавленную стоимость. Что же это такое? Согласно определению, которое предлагает Институт внутренних аудиторов (IIA – Institute of Internal Auditors, – ред.), такой аудит представляет собой «систематический и целенаправленный метод поддержки и повышения эффективности риск-менеджмента в организации, контроля и управления процессами». Аудит, добавляющий ценность – это так здорово, что Нью-Йоркская фондовая биржа и Комиссия по ценным бумагам и биржам США требуют проведения таких аудитов от 17 000 зарегистрированных у них компаний.
Вагон и маленькая тележка перемен
Не будет преувеличением сказать, что на рынке за последнее время произошли драматические изменения. Компании «Enron», «WorldCom» и столько других потерпели фиаско. Американское правительство законодательно потребовало от бизнеса раскрытия финансовой информации. А с 1 августа 2002 года Нью-Йоркская фондовая биржа установила в качестве обязательного условия регистрации у себя фирм, наличие у них процедур внутреннего аудита.
Вообще, надо сказать, в мире менеджмента качества произошли большие изменения. Компании осуществляют переход на ISO 9001:2000. Бюро аккредитованной сертификации (RAB – Registration Accreditation Board, – ред.), удостоверяющее квалификацию аудиторов систем качества и экологического менеджмента резко ужесточило свои подходы в вопросе независимости и незаинтересованности аудита и консалтинговых услуг.
Аудиторы по качеству и внутренние аудиторы все чаще замечают, что в тренд попали аналитические процедуры аудита – им теперь отдается предпочтение. Анализ процессов, оценка контроля и управления рисками, другие виды оценки эффективности, – все это сегодня приобретает все большее и большее значение. Обобщенно все перечисленные здесь тенденции и называют аудитом с добавленной ценностью.
Что же из этого?
С чего бы аудиторам и другим специалистам по качеству озадачиваться этим типом аудитов?
Сейчас мы официально находимся в состоянии рецессии, и топ-менеджеры компаний не хотят в этой ситуации сюрпризов. Вместе с советами директоров, которые стоят за их спинами они думают: «Достаточно ли у нас информации и гарантий относительно наших внутренних операционных процессов и можем ли мы быть уверенными в наших партнерах, чтобы принимать быстрые решения?».
За проведение проверок с добавленной стоимостью отвечают отделы аудита компаний. Из-за последних изменений в законодательстве, касающихся корпоративного управления, отчеты об этих аудитах идут напрямую комиссиям по аудитам советов директоров и, не напрямую, финансовому директору.
Стив Джеймсон, директор технической службы IIA недавно имел случай прокомментировать введение обязательных требований о внутренних аудитах от Конгресса, Нью-Йоркской фондовой биржи и Комиссии по ценным бумагам и биржам. Из его уст поступил следующий комментарий:
Цитата: ‘Введение требований об обязательном предоставлении информации, связанной с внутренними проверками – эта самая приятная за многие годы новость для профессионалов в этой сфере. Наконец-то Конгресс ввел это требование. Теперь стандарты внутреннего аудита и философия добавленной ценности IAA превратят внутренних проверяющих в компаниях в ключевой фактор гарантии эффективности внутренних процессов для совета директоров, управленцев и аудиторских комиссий’
Что касается нас, специалистов по качеству, то наши отчеты ложатся на стол генеральному директору или его заместителю. Конечно, мы хотим, чтобы и наша работа приносила пользу и имела значение. Для нас вопрос во всей этой ситуации стоит так: должны ли наши результаты оценки системы менеджмента качества идти к гендиректору или лучше сотрудничать с внутренними аудиторами, чтобы представлять совету директоров консолидированные отчеты об аудите. Мне кажется очевидным, что предпочтительнее второй вариант.
Ценность аудита. Зависит от того, кто оценивает
Все организации существуют, чтобы «добавлять ценность» заинтересованным лицам. Но такое относительное качество может означать разное для разных заинтересованных сторон. Для акционеров «ценность» состоит в повышении стоимости акций компании. Топ-менеджеры были бы рады операционной эффективности. Совет директоров не хочет сюрпризов. Наконец, для регуляторов «ценность» – выполнение требований законодательства.
Таким образом, специалистам по качеству, чтобы дать заинтересованным сторонам эту самую операционную эффективность нужно:
- оценить операционную эффективность и качество;
- риски;
- критерии эффективности и контрольные механизмы в процессах;
- эффективность процессов и бизнеса в целом;
- идентифицировать возможности для сокращения издержек;
- идентифицировать возможности для сокращения потерь времени и материальных средств;
- оценить эффективность корпоративного управления.
Границы понятия
Многие люди мыслят внутренний аудит, как, прежде всего, финансовый аудит. Организация IIA выработала определение проверки с добавленной ценностью, которое охватывает разные его элементы:
Цитата: ‘Внутренний аудит – независимая, объективная и консультационная деятельность, служащая для добавления ценности и улучшения деятельности организации. Он помогает организации достигать своих целей, благодаря систематическому и дисциплинированному подходу к оценке и повышению эффективности процессов управления рисками, контроля и управления процессами’
Из данного определения несложно вывести различные «лучшие практики» аудита с добавленной ценностью. Аудит с добавленной ценностью направлен на:
- Обеспечить независимый и/или объективных оперативный анализ.
- Проверка каждой функции, процесса и деятельности в организационной и внешней цепочке создания ценности.
- Помощь в практической реализации стратегии компании и достижении ее целей.
- Обеспечение систематического и целенаправленного подхода в ходе оценки.
- Оценка и повышение эффективности применения в организации риск-менеджмента, контроля и управления процессами.
Там, где качество и внутренний аудит сходятся
Аудит с добавленной ценностью – это вопрос, в котором качество перекрывает часть функционала внутреннего аудита. RAB и органы по сертификации, занимающиеся подтверждением на соответствие стандартам ISO находятся на острие борьбы за прозрачность бизнес-процессов, уверенность в них и, наконец, за ценность для предприятий актов об аудите качества.
Что касается североамериканских органов по сертификации, то их риторика все чаще затрагивает ценность аудита для организаций, где он проводится. «Имея дела с сегодняшней нестабильностью финансовых рынков, инвесторы хотят больше уверенности в эффективности работы компаний», – говорит Том Харрис, управляющий директор «AOQC Moody International». «Для аудиторов по качеству в нынешних условиях уже недостаточно просто оценивать системы качества на соответствие, они должны также анализировать их эффективность. Компании должны устанавливать действительно важные цели и затем получать помощь от владельцев процессов, которые отвечают за измерения, контроль, анализ и улучшения в системах управления и процессах. «AOQC Moody International» сейчас семимильными шагами движется в этом направлении».
«В мае прошлого года (2001, – ред.) Комиссия по сертификации аудиторов RAB ввела новую терминологию в вопросе беспристрастности оценщиков. Она распространяется на все сертификационные программы RAB», – рассказал Боб Кинг, президент и исполнительный директор RAB. «Если конкретно, то, например, в соответствии с новыми правилами, должно пройти не менее двух лет между тем, как определенный аудитор оказывал какой-нибудь компании консалтинговые услуги и тем, когда он выступил в качестве независимого оценщика – в ходе аудита. Чем дальше получает развитие идея аудита с добавленной ценностью, тем больше мы хотим удостовериться в том, что аудиторы понимают разницу и границу между аудиторскими услугами и консалтингом». На самом деле, аудит, о котором идет речь в данной статье – это не какая-то теория, которая пока не проверялась на практике. Такие проверки уже проводятся и могут включать в себя:
- аудит соответствия;
- аудит процессов;
- оценку рисков;
- оценка внутренних критериев эффективности и проверочных механизмов;
- самооценка;
- консалтинг.
Аудиты соответствия
В общем-то, ключевые элементы аудита соответствия нашли отражение в определении такового из ISO 9001:2000. Напомню, что там по этому поводу говорится следующее «аудит – это систематический, независимый и документированный процесс получения свидетельств аудита и их объективной оценки для определения степени соответствия критериям аудита». Критерием аудита, в соответствии с тем же источником, может являться только «совокупность политики, процедур и других требований, в отношении которых можно сопоставить свидетельства аудита». Свидетельства аудита включают записи по качеству, подтвержденные документально факты, другую информацию, имеющую отношение к аудиту и верифицируемую.
Большинство из нас хорошо знакомо с аудитами на соответствие требованиям стандарта ISO 9001. В общем виде такие проверки представляют собой анализ документации из которого можно сделать всего два противоположных вывода: «соответствие» и «несоответствие». Если есть несоответствие, то аудитор назначает корректирующие и предупреждающие действия.
Аудиты соответствия формируют «добавленную ценность» и для госструктур, и для коммерческих структур, которые должны подтвердить выполнение контрактных обязательств или реализацию требований регуляторов. Возможно, этот тип аудита – самое простое, с чем можно столкнуться, так как требования уже записаны, у аудитора тут меньше пространства для ошибки.
Аудиты процессов
Главная проблема оценки на соответствие ISO 9001:2000, как выполнить аудит процессов, чтобы продемонстрировать их «эффективность». Хотя все еще немало путаницы и дефицит общепризнанных подходов существует по вопросу о том, как проводить аудит процессов и реализации в них управленческого цикла PDCA, все же можно предложить некоторые возможные шаги, которые позволят осуществить эту задачу с надеждой на успех:
- Идентифицируйте цели бизнеса.
- Оформите блок-схемы процессов.
- Идентифицируйте важные входы и выходы из процессов.
- Оцените процедуры процессов, записи и документы по требованиям ISO 9001:2000.
- Осуществите оценку метрик процессов, сопоставив их с целями.
- Проанализируйте метрики, чтобы оценить стабильность и потенциал процесса.
- Улучшите деятельность в процессе путем рассчитанного вмешательства, а также корректирующих и предупреждающих действий.
Вдобавок, процессный аудит может выходить за пределы аудита эффективности СМК ISO 9001:2000 и положений стандарта. Такой аудит можно распространить на процессы в цепочках создания ценности. Их можно сопоставлять с целями и внешними контрольными показателями эффективности.
Аудит систем оценки рисков
Всего пять лет назад именно менеджмент качества был тем «фильтром», который больше всего влиял на принимаемые топ-менеджментом решения. Удовлетворенность потребителей была, в свою очередь, главным признаком качества. Затем ситуация стала меняться, увеличившиеся издержки и сократившиеся сроки поставок выдавили управление качеством с его прежних позиций.
11 сентября и ужесточившаяся рыночная среда все изменила. Теперь главный фильтр для руководителей – риски. Вот почему аудиты систем управления рисками станут в будущем все более важными для операций.
Аббревиатура ORCA – название общераспространенной на сегодняшний день методологии оценки рисков. Метод предусматривает:
- Идентификацию целей.
- Идентификацию операционных и других рисков.
- Проверку существующих критериев эффективности бизнеса и механизмов контроля.
- Оценку эффективности бизнес-процессов с точки зрения удовлетворения целей и управления рисками.
После того, как в организации проведена оценка рисков, топ-менеджмент и операционный менеджмент может создать стратегию по управлению рисками и принять решения об изменениях в работе. Стратегия управления рисками может включать следующие действия:
- предотвращение риска;
- уменьшение риска;
- принятие риска;
- диверсификацию риска;
- управление рисками.
Оценка внутреннего контроля
Приведем здесь ежегодный отчет IBM, в котором неплохо показана важность механизмов внутреннего контроля и критериев эффективности и их цели.
Цитата: ‘IBM выработал превосходную структуру внутреннего контроля. Она включает организационные мероприятия с ясно очерченной ответственностью и делегированием полномочий, отчетливыми механизмами оценки эффективности процессов и контроля. Чтобы эффективно процедурами внутреннего управления, мы тщательно отбираем и ведем наших сотрудников, подготавливаем и распространяем политики и процедуры, обеспечиваем подходящие каналы, по которым можно доводить информацию до соответствующих людей, формируем корпоративную среду, а также содействуем созданию благоприятных условий для эффективного функционирования органов управления.’
Внутренний контроль – это фундаментальная идея, которая лежит в основе финансовой и операционной структуры любой компании.
Неплохое, по-моему, определение предлагает (Комитет спонсорских организаций, – ред.): внутренний контроль – это процесс, предназначенный для приобретения разумной уверенности:
- в эффективности и результативности операций
- надежности данных финансовой отчетности
- уверенности в соответствии законам и требованиям рынка.
Внутренние контрольные механизмы дают возможность убедиться в реальном присутствии следующих пяти взаимосвязанных элементах эффективности и той самой «ценности» для заинтересованных сторон.
- Среда организации. Топ-менеджмент должен задавать тон в вопросах видения развития компании, миссии, приоритетов качества, в этических аспектах, в вопросах целей и средств управления. Повседневный операционный контроль должен быть доверен сотрудникам, которые знают процесс и продукт – владельцам процесса.
- Оценка риска. Риск-менеджмент вскоре станет важнейшим приоритетом для всех управленцев в следующие несколько лет. Необходимыми условиями полезных для дела систем управления рисками является работа именно с ключевыми процессами и с вариациями в процессах.
- Контроль деятельности. Сюда входит работа с контрольными механизмами для работы с людьми, политиками, поставщиками и другими аспектами, без которых нельзя быть уверенным в том, что все важные риски учтены, проводится их мониторинг. А также, что риски, скрытые в проекте, продукте и в жизненном цикле согласно контракту, будут предотвращены. Соответствующие контрольные механизмы могут включать процедуры одобрения, авторизации, валидации, верификации, согласования и отбора.
- Информация и ее распространение. Если нет информации или она не доходит куда нужно, то значит и контроля тоже нет. Элементарно.
- Мониторинг. Внутренние критерии эффективности систем и процессов необходимо подвергать мониторингу. Недостаточно признать по результатам мониторинга, что тот или иной процесс, увы, не контролируется. Или хуже того: не соответствует установленным требованиям. Последующий мониторинг, по методологии COSO, должен помочь внедрить корректирующие и предупреждающие действия и отследить их результативность.
Самооценка
Сегодня рабочие коллективы тяготеют к созданию самоуправляемых команд специалистов. Возможно, вы уже имели дело с одной или двумя такими организациями. Подобные коллективы создаются путем подбора людей, способных взять ответственность за собственную работу, самостоятельно формировать свой график, работать над качеством своего труда, контролировать издержки, развивать свои навыки, распределять работу, улучшать эффективность своей деятельности, сосредотачивать свое внимание на результатах и удовлетворять заинтересованные в работе стороны. Целые группы сотрудников заменяет собой один человек. Среда работы прозрачная и доброжелательная. Контролируемый рабочий график с обязательным расписанием отсутствуют. Зарплатное вознаграждение определяется знаниями, которые есть у специалиста, он приобретает их в ходе повышения квалификации, получения опыта, знаний, добавленной ценности, которую он приносит компании. Работники и владельцы процессов отвечают за управление рисками и самими процессами.
Самоуправляемые коллективы и профессионалы могут оценить свою эффективность через следующие механизмы:
- сбалансированная система показателей;
- чек-листы с рейтингами;
- опросники внутреннего контроля;
- написанные самими хозяевами процессов процедуры и инструкции;
- статистический контроль процессов;
Аудиторы в качестве консультантов
Топ-менеджмент и советы директоров ответственны за риск-менеджмент и операционный контроль процессов. Но аудиторы, осуществляющие проверки с добавленной ценностью могут помочь нести это бремя, выступив как консультанты. Они могут сыграть большую роль в идентификации возможностей по улучшению, в оценке рисков и внедрении методов управления рисками. В этом и есть суть коренного переворота, который происходит на наших глазах. Концепция аудита с добавленной ценностью уничтожает ту непроницаемую стену, которая всю дорогу разделяла проверяющего и аудитируемую компанию.
Но как же быть с беспристрастностью аудита? Традиционно независимость проверяющего достигалась тем, что он должен был держаться на расстоянии вытянутой руки от того, кого он проверяет, дабы не возник конфликт интересов. Общепринятой истиной считается, что если специалист был привлечен к работе организации в качестве консультанта, то его беспристрастность находится под угрозой, хотя вряд ли кто-нибудь будет спорить, что объективный взгляд такого человека, уже привлеченного к работе все-таки приносит большую пользу компании. Определение аудитора как консультанта является главным изменением, которое внесла в свою работу организация IIA.
Вызовы, связанные с аудитом, добавляющим ценность
ISO 9001:2000 сейчас требует «эффективности» и оценки процессов. Но как аудитор по качеству может оценивать эффективность? Это вызов для всех аудиторов по качеству, органов по сертификации, оценивающих на соответствие стандартам ISO и консультантов по качеству. Но то, что порождает проблему, одновременно и предлагает ее решение. Аудит с добавленной ценностью может предложить такое решение. Для того, чтобы решить проблему необходимы следующие условия:
- Открытость к различным интерпретациям требований. Оценка эффективности, риск-менеджмент, внутренние контрольные механизмы будут отличаться от организации к организации в зависимости от того, какое прочтение получили требования ISO 9001 и каковы особенности, которые получила исходя из этого конкретная СМК.
- Терпимость к интерпретациям от разных аудиторов. Оценка эффективности, риск-менеджмент, внутренние механизмы контроля могут сегодня отличаться в зависимости от того, какой аудитор делает работу.
- Аудиторы должны получить дополнительные навыки. Аудит с добавленной ценностью требует гораздо более глубокого понимания бизнеса, процессов и знаний.
- Стандарты и правила. Не существует, к сожалению, хороших и надежных стандартов и протоколов для аудита с добавленной ценностью на сегодняшний день.
Будущее аудита, добавляющего ценность
Было бы наивно думать, что с появлением нового типа аудитов исчезнут старые добрые аудиты соответствия, которые проводят регуляторы. Это, конечно малореально. С другой стороны, аудиты соответствия тоже полезны, так как укрепляют уверенность внешних заинтересованных в деятельности компании лиц в надежности ее работы. Но советы директоров публичных компаний нуждаются в более подробной информации, чем та, которую дает аудит соответствия – только да или нет, соответствует или не соответствует. Потребность совета директоров – услуги оценки соответствия, которые помогают оценивать риск и эффективность оперативного управления.
Многие гуру качества высказываются в том смысле, что аудит с добавленной ценностью – это профессия будущего. Джиму Лэмпрехту, консультанту и автору нескольких книг по ISO 9001 принадлежат следующие слова: «Аудит с добавленной ценностью – это аудит, который улучшает удовлетворенность потребителей и повышает прибыльность компании».
Напоследок, давайте попробуем погадать на кофейной гуще: что сулит менеджменту качества развитие нового типа аудита?
- Консолидированные отчеты об аудите от внутренних аудиторов и аудиторов качества, предоставляемые совету директоров.
- Интеграция процессов аудита качества с процедурами внутренних аудитов.
- Понятие «аудит качества» будет постепенно выводится из словарей стандартов ISO.
- Многочисленные проверки будут проводится у различных заинтересованных сторон.
- Обычные, общераспространенные сегодня аудиты соответствия будут по-прежнему проводиться.
- Аудиторы по качеству будут трансформироваться в аудиторов-консультантов по бизнес-процессам.
- Распространение аудитов с добавленной стоимостью будет развиваться по экспоненте.
- Возрастут требования к обучению аудиторов.
Заключительная мысль
Аудит качества как бы нуждается во втором издании, в обновлении. Подчеркну то, о чем уже говорилось: отчеты об аудите СМК поступают к менеджерам, а было бы гораздо эффективнее если бы мы объединили наши усилия с внутренними аудиторами и доводили информацию аудита до совета директоров. В совместных отчетах об аудите качества, рисков и контрольных механизмов скрыт огромный потенциал.
Перевод: сотрудник «Единый Стандарт» Валентин Рахманов.
Добавить комментарий